实验室 2 - 练习 2 - 管理终结点 DLP

你是 Joni Sherman，Contoso Ltd. 新上任的合规性管理员，负责配置公司的 Microsoft 365 租户以防止数据丢失。 Contoso Ltd. 是美国的一家提供驾驶指导服务的公司，你需要确保敏感客户信息不会泄露到组织外部。所以，你决定不仅要实现 Microsoft 365 DLP 策略，还要将此保护扩展到组织中的设备。

任务：

启用设备加入
将设备加入到终结点 DLP
创建终结点 DLP 策略
配置终结点 DLP 设置
配置 Microsoft Purview 扩展

任务 1 - 启用设备加入

在本任务中，你将为组织启用设备加入。

使用 SC-400-CL1\admin 帐户登录到客户端 1 VM (SC-400-CL1)。
在 Microsoft Edge 中，导航到 https://purview.microsoft.com ，并以 Joni Sherman 的身份登录到 Microsoft Purview 门户。以 JoniS@WWLxZZZZZZ.onmicrosoft.com 身份登录（其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID）。 Joni 的密码是在上一练习中设置的。
在 Microsoft Edge 中，导航到 https://purview.microsoft.com，然后从左侧边栏中选择“设置”。
在左侧边栏中，展开“设备加入”，然后选择“设备”。
在“设备”页上，选择“启用设备加入”，为租户启用解决方案。
选择“确定”，接受“启用设备加入”对话框中的内容。
选择“确定”，接受“正在开启设备监视”对话框中的内容。

你现在已经启用了设备加入功能，可以开始加入设备以使用终结点 DLP 策略对其进行保护。启用该功能的过程可能需要长达 30 分钟的时间，但你可以继续执行下一个任务，因为其并不依赖此功能。

任务 2 - 将设备加入到终结点 DLP

在本任务中，你将使用本地脚本选项加入 Windows 11 设备，使其得到终结点 DLP 策略的保护。

使用 SC-400-cl1\admin 帐户登录到客户端 2 VM (SC-400-CL2)。
打开 Microsoft Edge，导航到 https://purview.microsoft.com，以 Joni Sherman 的身份登录到 Microsoft Purview 门户。以 JoniS@WWLxZZZZZZ.onmicrosoft.com 身份登录（其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID）。 Joni 的密码是在上一练习中设置的。
从左侧边栏中选择“设置”。
在左侧边栏上，展开“设备加入”，然后选择“加入”。
在“加入”页上，在“部署方法”下拉菜单中，选择“本地脚本(最多可用于 10 台计算机)”，然后选择“下载包”。
在“下载”对话框中，将鼠标悬停在下载上方，然后选择文件夹图标以“在文件夹中显示”。
将 Zip 文件解压缩至 SC-400-CL1 的桌面。应该会看到名为 DeviceComplianceLocalOnboardingScript.cmd 的脚本。
在桌面上，右键单击刚刚解压的 DeviceComplianceLocalOnboardingScript.cmd 文件，然后选择“显示更多选项”，再选择“属性”。
在属性窗口的“常规”选项卡底部，选择“安全”部分中的“取消阻止”，然后选择“确定”以保存此设置。
返回桌面，右键单击 DeviceComplianceLocalOnboardingScript.cmd 文件，然后选择“以管理员身份运行”。在“用户帐户控制”对话框中，选择“是”。
在“命令提示符”屏幕中键入 Y 以进行确认，然后按 Enter 键。
脚本完成后，将收到成功消息和“按任意键继续”提示。按任意键关闭命令窗口。完成此加入可能需要一分钟时间。
打开“开始”菜单并搜索 Access work or school。在“最佳匹配”下选择“访问工作或学校”。
在“添加工作或学校帐户”的“访问工作或学校”窗口中，选择“连接”。
在“设置工作或学校帐户”对话框中，选择“让此设备加入 Microsoft Entra ID”链接，并以 Joni ShermanJoniS@WWLxZZZZZZ.onmicrosoft.com（其中 ZZZZZZ 是实验室托管服务提供商提供的唯一租户 ID）的身份登录。 Joni 的密码是在上一练习中设置的。
在“请确认这是你的组织”对话框中查看租户 URL 并选择“加入”。********
设备连接后，在“你已完成所有设置!”屏幕上选择“完成” 。
重启客户端 2 VM (SC-400-CL2)。
重新登录到客户端 1 VM (SC-400-CL1)。
Microsoft Purview 窗口应仍在显示“设备”页。刷新此页面并验证设备是否已成功加入。

你已经成功加入了一个设备，并将其加入到 Microsoft Entra ID 中，以受终结点 DLP 策略保护。

任务 3 - 创建终结点 DLP 策略

在此任务中，你将在 Microsoft Purview 门户中创建数据丢失防护 (DLP) 策略，以防止敏感信息被与 Windows 11 设备上的生成 AI 平台共享。此策略将有助于确保敏感客户数据（如驾驶执照号和个人信息）不会被意外或有意地与 AI 平台共享，从而保护组织的数据完整性。

使用 SC-400-cl1\admin 帐户登录到客户端 1 VM (SC-400-CL1)。
你应仍位于 Microsoft Purview 门户中的“设备”页，并以 Joni Sherman 的身份登录。选择屏幕右上角的“主页”按钮。如果未登录，请导航到 https://purview.microsoft.com 并以 Joni Sherman 的身份登录。 Joni 的密码是在上一练习中设置的。
在 Microsoft Purview 门户中，从左侧边栏中选择“解决方案”，然后选择“数据丢失防护”。
在左侧导航面板中，选择“策略”，然后选择“+ 创建管理”。
在“从模板开始或创建自定义策略”页面上，依次选择“自定义”、“自定义策略”和“下一步”****************。
在“为 DLP 策略命名”页上输入：
- 名称：Generative AI sharing DLP policy
- 说明：Prevent sharing of sensitive data with generative AI platforms.
在“分配管理单元”**** 页面上，选择“下一步”****。
在“选择应用策略的位置”页上，仅选择“设备”这一位置。如果已选择任何其他位置，请确保将其取消选中，然后选择“下一步”。
在“定义策略设置”页面上，选择“创建或自定义高级 DLP 规则”，然后选择“下一步”************。
在“自定义高级 DLP 规则”页面上选择“+ 创建规则” 。
在“创建规则”**** 页面上，输入：
- 名称：Sensitive data protection rule
- 说明：Detect and restrict sharing of sensitive information with generative AI platforms.
在“条件”下选择“+ 添加条件”，然后选择“内容包含”。
在新打开的“内容包含”区域中，选择“添加”，然后选择“敏感信息类型”。
在右侧的“敏感信息类型”浮出面板中，搜索 U.S. 并选择所有美国相关的敏感信息类型。选择浮出面板底部的“添加”。
向下滚动到“操作”，选择“+ 添加操作”下拉列表，然后选择“审核或限制设备上的活动”。************
在新打开的“审核或限制设备上的活动”区域中，选中“服务域和浏览器活动”部分中的“上传到受限的云服务域或从不允许的浏览器访问”复选框，然后在此选项下选择“+ 为敏感服务域选择不同的限制”。
在“敏感服务域限制”浮出面板中，选择“+ 添加组”。
在“选择敏感服务域组”中，选中“生成式 AI 网站”复选框，然后选择浮出面板底部的“添加”。
返回“敏感服务域限制”页，确保“生成式 AI 网站”已列出，然后选择浮出面板底部的“保存”。
返回“创建规则”，选中“粘贴到受支持的浏览器”复选框，然后在此选项下选择“+ 为敏感服务域选择不同的限制”。
在“敏感服务域限制”浮出面板中，选择“+ 添加组”。
在“选择敏感服务域组”中，选中“生成式 AI 网站”复选框，然后选择浮出面板底部的“添加”。
返回到“服务域和浏览器活动”部分中的“创建规则”，将“上传到受限的云服务域或从不允许的浏览器访问”和“粘贴到受支持的浏览器”对应的操作从“仅审核”更新为“阻止”。
在“所有应用的文件活动” 部分中，保留默认操作仅审核。
在“用户通知”部分中，将“使用通知来通知用户并帮助引导他们正确使用敏感信息” 设为“开启”。
在“终结点设备”下，选中“当限制活动时向用户显示策略提示通知。当你在 Windows 中为活动选择“阻止”时会打开此功能。若要关闭 Windows 设备上的通知，请禁用限制。”复选框********。
在“Microsoft 365 服务”下，选中“使用策略提示通知 Office 365 服务用户”复选框。
选择浮出面板底部的“保存”。
返回到“自定义高级 DLP 规则”页，选择“下一步”。
在 “策略模式 ”页上，选择 “立即 打开策略”，然后选择“ 下一步”。
在“查看并完成”页面上，查看策略设置，然后选择“提交”******** 以创建策略。
创建策略后，请在“已创建新策略”页上选择“完成”。

你已成功激活终结点 DLP 策略。此策略将阻止与生成式 AI 平台共享敏感信息，确保驾驶执照号和个人信息等敏感数据免受未经授权的访问或泄露。

任务 4 - 配置终结点 DLP 设置

在本任务中，你将在 Windows 11 设备上配置一个文件夹的文件路径排除，以确保该文件夹的内容不会被你自己创建的终结点 DLP 策略监视。

你应仍使用 SC-400-cl1\admin 帐户登录到客户端 1 VM (SC-400-CL1)，并且应该会以 Joni Sherman 的身份登录到 Microsoft 365。
在 Microsoft Edge 中，Microsoft Purview 门户选项卡中的“策略”页应仍处于打开状态，该页用于数据丢失防护。从左侧边栏中选择“设置”。
在设置页上，从左侧边栏中选择“数据丢失防护”。
“数据丢失防护设置” 页应在显示“终结点 DLP 设置”。
在“终结点 DLP 设置”页面上，展开“Windows 的文件路径排除”，并选择“+ 添加文件路径排除”************。
在“从 Windows 设备中排除这些文件路径”浮出控件页上的“文件路径排除”字段中，输入 C:\FilePathExclusionTest，然后选择右侧的“+”按钮。选择“保存”以保存此输入****。
返回到“终结点 DLP 设置”页面，展开“敏感数据的浏览器和域限制”，并选择“+ 添加或编辑不允许的浏览器”。************
在“添加不允许的浏览器”浮出控件页中，选中“Google Chrome”对应的复选框，然后选择“保存”。
返回到“终结点 DLP 设置”页，选中“服务域”下拉列表，并将其从“关闭”更改为“阻止”。
在“更新云应用模式”对话框中，选择“是”以激活阻止模式********。
在“服务域”下，选择“+ 添加云服务域”。********
在“添加云服务域”浮出控件页上的“域”字段中输入 dropbox.com，然后选择右侧的“+”。选择“保存”以保存此设置。
关闭浏览器窗口。

你现在已为终结点 DLP 策略配置了自定义设置。你创建的每个策略都将忽略你配置的文件夹中的内容，并且 Google Chrome 浏览器已添加为不允许处理敏感数据的浏览器。

任务 5 - 配置 Microsoft Purview 扩展

作为合规性管理员，你需要评估向多个用户推出 Chrome 浏览器用于处理敏感数据的新业务要求。对于此测试，你需要将 Google Chrome 浏览器安装到客户端 01，然后从 Google Web Store 手动添加“适用于 Google 的 Microsoft Purview 合规性扩展”。

从任务栏中打开 Edge 浏览器。
通过 https://chrome.google.com 导航到 Google Chrome 下载。
选择“下载 Chrome”，然后选择“下载”通知中的“打开文件”，以打开“ChromeSetup.exe”。
在“用户帐户控制”对话框中选择“是”以安装 Chrome 浏览器。
安装完成后，在“登录 Chrome”页上选择“不登录”。
在“设置默认浏览器”页上选择“跳过”。
当新安装的 Chrome 浏览器窗口打开时，导航到 Chrome Web Store 中的 Microsoft Purview 扩展，网址为：

https://chrome.google.com/webstore/detail/microsoft-purview-extensi/echcggldkblhodogklpincgchnpgcdco
验证你是否位于 Microsoft Purview 扩展的扩展页上，然后选择“添加至 Chrome” 。
在“添加“Microsoft Purview 扩展”上? 窗口中，选择“添加扩展”。
关闭关于正在添加到 Chrome 的扩展的通知，然后导航到 chrome://extensions。
验证“Microsoft Purview 扩展”是否可见并是否已激活。
关闭 Chrome 浏览器窗口。

你已成功安装了 Chrome 浏览器，并向客户端添加了 Microsoft Purview 扩展。现在可以像 Edge 浏览器一样使用 Chrome 浏览器来处理敏感数据，并且以前配置的终结点 DLP 策略在使用 Chrome 浏览器时也适用。